خلال النصف الأول من عام 2022، حدثت حوادث أمنية متكررة في مجال NFT، مما تسبب في خسائر اقتصادية كبيرة. ووفقًا لمنصة البيانات، حدثت 10 حوادث أمنية رئيسية خلال هذه الفترة، بإجمالي خسائر حوالي 6490 مليون دولار. كانت طرق الهجوم الرئيسية تشمل استغلال ثغرات العقود، وتسرب المفاتيح الخاصة، والتصيد. في الوقت نفسه، تعرضت خوادم Discord لهجمات متكررة، مما أدى إلى حالات متكررة من خسائر للمستخدمين الشخصيين بسبب نقرهم على روابط تصيد.
تحليل الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس 2022، تعرضت منصة TreasureDAO للاختراق، مما أدى إلى سرقة أكثر من 100 NFT. كانت جذور الحدث في ثغرة منطقية في عقد TreasureMarketplaceBuyer. لم يقم العقد في دالة buyItem بالتحقق من نوع الرمز، بل استخدم مباشرة _quantity مضروبًا في _pricePerItem لحساب totalPrice، مما أتاح للمهاجم شراء الرموز في حالة كان الدفع بالرموز ERC-20 مساوياً للصفر. كانت هذه المشكلة ناتجة عن الفوضى المنطقية الناتجة عن الاستخدام المختلط لرموز ERC-1155 وERC-721، حيث لا يوجد مفهوم للكمية في رموز ERC-721، لكن العقد استخدم الكمية لحساب السعر، ولم يتم فصل المنطق في تنفيذ التحويل.
حدث توزيع عملة APE
في 17 مارس 2022، حصل هاكر على أكثر من 60,000 APE Coin من خلال قرض فوري. يوجد ثغرة منطقية في عقد AirdropGrapesToken، حيث يتم استخدام alpha.balanceOf() و beta.balanceOf() فقط لتحديد ملكية المُطالِب لـ BAYC/MAYC NFT. هذه الطريقة تسمح بالحصول فقط على الحالة اللحظية لملكية المستخدم لـ NFT، والتي يمكن التحكم فيها من خلال القرض الفوري. استغل المهاجم هذه الثغرة، حيث اقترض BAYC NFT عبر القرض الفوري وحصل على الإيجابيات المقابلة.
فعالية Revest Finance
في 27 مارس 2022، تعرض Revest Finance لهجوم من قراصنة، مما أسفر عن خسارة تقدر بحوالي 120,000 دولار أمريكي. يوجد ثغرة إعادة إدخال في عقد Revest ERC-1155. عندما يستخدم المستخدم depositAdditionalToFNFT() لإضافة أصول FNFT المرهونة، يجب على العقد أولاً تدمير FNFT الأصلي، ثم سك FNFT جديد. ومع ذلك، لم يتحقق الدالة min() من وجود FNFT الذي سيتم سكّه، ويتم زيادة fnftId بعد تنفيذ _mint(). استدعاء _doSafeTransferAcceptanceCheck() الخارجي في _mint() أدى إلى ثغرة إعادة الإدخال.
حدث NBA للاستفادة من العروض
في 21 أبريل 2022، تعرض مشروع NBA لهجوم من قراصنة. توجد مشكلتان رئيسيتان في عقد The_Association_Sales عند استخدام التحقق من توقيع القائمة البيضاء: انتحال التوقيع وإعادة استخدام التوقيع. إعادة استخدام التوقيع تحدث لأن العقد لم يخزن التوقيعات المستخدمة، مما يسمح للمهاجمين بإعادة استخدامها؛ بينما انتحال التوقيع يحدث بسبب عدم التحقق من المرسل msg.sender عند تمرير معلمة vData memory info.
حدث أكوتار
في 23 أبريل 2022، أدى عقد AkuAuction لمشروع Akutar بسبب ثغرة في العقد الذكي إلى قفل 11539ETH( حوالي 34 مليون دولار). يحتوي العقد على ثغرتين منطقيتين: الأولى هي أن وظيفة استرداد الأموال processRefunds تستخدم دالة call لاسترداد الأموال، وتستخدم النتيجة كشرط لتأكيد require، مما يسمح للمهاجم بإعادة إلغاء في fallback لمنع استرداد الأموال؛ والثانية هي أن شرط التحقق في وظيفة استرداد الأموال لم يأخذ في الاعتبار إمكانية تقديم المستخدم لعدة مزايدات على NFT، مما يجعل العمليات اللاحقة لاسترداد الأموال غير قابلة للتنفيذ.
حدث XCarnival
في 24 يونيو 2022، تعرض بروتوكول إقراض NFT XCarnival لهجوم، حيث حقق القراصنة 3087 إيثريوم ( بحوالي 3.8 مليون دولار ). لم يتحقق دالة pledgeAndBorrow في عقد XNFT من أن عنوان xToken في القائمة البيضاء عند رهن NFT، ولم يتم فحص حالة سجل الرهن عند الاقتراض، مما سمح للمهاجمين باستخدام سجلات الرهن غير الصالحة بشكل متكرر للإقراض.
الأسئلة الشائعة حول تدقيق عقود NFT
انتحال التوقيع وإعادة استخدامه:
بيانات التوقيع تفتقر إلى التحقق من التنفيذ المتكرر، يمكن استخدام بيانات التوقيع المتكررة لصك NFT
فحص التوقيع غير معقول، يمكن لأي مستخدم القيام بالتعدين من خلال الفحص
ثغرة منطقية:
يمكن للمديرين صك العملات بطرق خاصة دون قيود على الكمية الإجمالية، مما يؤدي إلى تجاوز الكمية الفعلية لـ NFT التوقعات.
عند مزاد NFT، يمكن للفائز تعديل سعر المزايدة من خلال هجوم يعتمد على ترتيب المعاملات، والحصول على NFT بسعر منخفض.
هجوم إعادة الإدخال ERC721/ERC1155:
عند استخدام ميزة إشعار التحويل، قد يؤدي استدعاء عقد NFT للعقد المستهدف إلى هجوم إعادة الدخول
نطاق التفويض واسع جدًا:
يتطلب تفويض _operatorApprovals عند الرهن أو المزاد، مما قد يؤدي إلى خطر سرقة NFT
التحكم في الأسعار:
تعتمد أسعار NFT على كمية الرموز المميزة لعقد معين، يمكن للمهاجمين استغلال القروض الفورية لرفع الأسعار، مما يؤدي إلى تصفية غير طبيعية لـ NFT المرهونة.
نظرًا لتكرار أحداث أمان عقود NFT، وغالبًا ما يتم استغلال الثغرات الشائعة في التدقيق في الواقع، من الضروري البحث عن شركات أمان محترفة لإجراء تدقيق شامل لعقود NFT.
شاهد النسخة الأصلية
قد تحتوي هذه الصفحة على محتوى من جهات خارجية، يتم تقديمه لأغراض إعلامية فقط (وليس كإقرارات/ضمانات)، ولا ينبغي اعتباره موافقة على آرائه من قبل Gate، ولا بمثابة نصيحة مالية أو مهنية. انظر إلى إخلاء المسؤولية للحصول على التفاصيل.
تسجيلات الإعجاب 11
أعجبني
11
9
مشاركة
تعليق
0/400
SerumDegen
· 07-26 15:03
يوم آخر، هاك آخر... ويب 3 كلاسيكي، يا للأسف
شاهد النسخة الأصليةرد0
CompoundPersonality
· 07-26 10:33
هذه الأخطاء في العقود هي مجرد نمور ورقية.
شاهد النسخة الأصليةرد0
BearMarketBuyer
· 07-26 08:12
مبتدئ خسر خمسون ألفًا
شاهد النسخة الأصليةرد0
DefiOldTrickster
· 07-25 07:36
لقد كنت ألعب في هذا المجال منذ عشر سنوات، ورأيت كم من الحمقى تم خداعهم لتحقيق الربح. هل من المفترض أن يتكبدوا هذه الخسائر؟
شاهد النسخة الأصليةرد0
TokenSleuth
· 07-23 15:36
العقود تحتوي على العديد من الثغرات، من يجرؤ على الشراء؟
شاهد النسخة الأصليةرد0
pumpamentalist
· 07-23 15:36
تم صيد سمكة أخرى!
شاهد النسخة الأصليةرد0
SelfCustodyBro
· 07-23 15:31
كيف تجرؤ على الاندماج في السلسلة مع وجود حماية بهذا السوء؟
تحليل مخاطر أمان عقود NFT: تحليل 6 أحداث نموذجية وتفسير 5 مشكلات شائعة
تحليل أمان عقود NFT: أحداث نموذجية ومشكلات شائعة
خلال النصف الأول من عام 2022، حدثت حوادث أمنية متكررة في مجال NFT، مما تسبب في خسائر اقتصادية كبيرة. ووفقًا لمنصة البيانات، حدثت 10 حوادث أمنية رئيسية خلال هذه الفترة، بإجمالي خسائر حوالي 6490 مليون دولار. كانت طرق الهجوم الرئيسية تشمل استغلال ثغرات العقود، وتسرب المفاتيح الخاصة، والتصيد. في الوقت نفسه، تعرضت خوادم Discord لهجمات متكررة، مما أدى إلى حالات متكررة من خسائر للمستخدمين الشخصيين بسبب نقرهم على روابط تصيد.
تحليل الحوادث الأمنية النموذجية
حدث TreasureDAO
في 3 مارس 2022، تعرضت منصة TreasureDAO للاختراق، مما أدى إلى سرقة أكثر من 100 NFT. كانت جذور الحدث في ثغرة منطقية في عقد TreasureMarketplaceBuyer. لم يقم العقد في دالة buyItem بالتحقق من نوع الرمز، بل استخدم مباشرة _quantity مضروبًا في _pricePerItem لحساب totalPrice، مما أتاح للمهاجم شراء الرموز في حالة كان الدفع بالرموز ERC-20 مساوياً للصفر. كانت هذه المشكلة ناتجة عن الفوضى المنطقية الناتجة عن الاستخدام المختلط لرموز ERC-1155 وERC-721، حيث لا يوجد مفهوم للكمية في رموز ERC-721، لكن العقد استخدم الكمية لحساب السعر، ولم يتم فصل المنطق في تنفيذ التحويل.
حدث توزيع عملة APE
في 17 مارس 2022، حصل هاكر على أكثر من 60,000 APE Coin من خلال قرض فوري. يوجد ثغرة منطقية في عقد AirdropGrapesToken، حيث يتم استخدام alpha.balanceOf() و beta.balanceOf() فقط لتحديد ملكية المُطالِب لـ BAYC/MAYC NFT. هذه الطريقة تسمح بالحصول فقط على الحالة اللحظية لملكية المستخدم لـ NFT، والتي يمكن التحكم فيها من خلال القرض الفوري. استغل المهاجم هذه الثغرة، حيث اقترض BAYC NFT عبر القرض الفوري وحصل على الإيجابيات المقابلة.
فعالية Revest Finance
في 27 مارس 2022، تعرض Revest Finance لهجوم من قراصنة، مما أسفر عن خسارة تقدر بحوالي 120,000 دولار أمريكي. يوجد ثغرة إعادة إدخال في عقد Revest ERC-1155. عندما يستخدم المستخدم depositAdditionalToFNFT() لإضافة أصول FNFT المرهونة، يجب على العقد أولاً تدمير FNFT الأصلي، ثم سك FNFT جديد. ومع ذلك، لم يتحقق الدالة min() من وجود FNFT الذي سيتم سكّه، ويتم زيادة fnftId بعد تنفيذ _mint(). استدعاء _doSafeTransferAcceptanceCheck() الخارجي في _mint() أدى إلى ثغرة إعادة الإدخال.
حدث NBA للاستفادة من العروض
في 21 أبريل 2022، تعرض مشروع NBA لهجوم من قراصنة. توجد مشكلتان رئيسيتان في عقد The_Association_Sales عند استخدام التحقق من توقيع القائمة البيضاء: انتحال التوقيع وإعادة استخدام التوقيع. إعادة استخدام التوقيع تحدث لأن العقد لم يخزن التوقيعات المستخدمة، مما يسمح للمهاجمين بإعادة استخدامها؛ بينما انتحال التوقيع يحدث بسبب عدم التحقق من المرسل msg.sender عند تمرير معلمة vData memory info.
حدث أكوتار
في 23 أبريل 2022، أدى عقد AkuAuction لمشروع Akutar بسبب ثغرة في العقد الذكي إلى قفل 11539ETH( حوالي 34 مليون دولار). يحتوي العقد على ثغرتين منطقيتين: الأولى هي أن وظيفة استرداد الأموال processRefunds تستخدم دالة call لاسترداد الأموال، وتستخدم النتيجة كشرط لتأكيد require، مما يسمح للمهاجم بإعادة إلغاء في fallback لمنع استرداد الأموال؛ والثانية هي أن شرط التحقق في وظيفة استرداد الأموال لم يأخذ في الاعتبار إمكانية تقديم المستخدم لعدة مزايدات على NFT، مما يجعل العمليات اللاحقة لاسترداد الأموال غير قابلة للتنفيذ.
حدث XCarnival
في 24 يونيو 2022، تعرض بروتوكول إقراض NFT XCarnival لهجوم، حيث حقق القراصنة 3087 إيثريوم ( بحوالي 3.8 مليون دولار ). لم يتحقق دالة pledgeAndBorrow في عقد XNFT من أن عنوان xToken في القائمة البيضاء عند رهن NFT، ولم يتم فحص حالة سجل الرهن عند الاقتراض، مما سمح للمهاجمين باستخدام سجلات الرهن غير الصالحة بشكل متكرر للإقراض.
الأسئلة الشائعة حول تدقيق عقود NFT
انتحال التوقيع وإعادة استخدامه:
ثغرة منطقية:
هجوم إعادة الإدخال ERC721/ERC1155:
نطاق التفويض واسع جدًا:
التحكم في الأسعار:
نظرًا لتكرار أحداث أمان عقود NFT، وغالبًا ما يتم استغلال الثغرات الشائعة في التدقيق في الواقع، من الضروري البحث عن شركات أمان محترفة لإجراء تدقيق شامل لعقود NFT.